自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

“用戶組”在Linux上到底是怎么工作的?

作者:Julia Evans
系統(tǒng) Linux
嗨!就在上周,我還自認(rèn)為對 Linux 上的用戶和組的工作機(jī)制了如指掌。我認(rèn)為它們的關(guān)系是這樣的:

[[245214]]

 嗨!就在上周,我還自認(rèn)為對 Linux 上的用戶和組的工作機(jī)制了如指掌。我認(rèn)為它們的關(guān)系是這樣的:

  1. 每個進(jìn)程都屬于一個用戶(比如用戶 julia
  2. 當(dāng)這個進(jìn)程試圖讀取一個被某個組所擁有的文件時, Linux 會 a. 先檢查用戶julia 是否有權(quán)限訪問文件。(LCTT 譯注:此處應(yīng)該是指檢查文件的所有者是否就是 julia) b. 檢查 julia 屬于哪些組,并進(jìn)一步檢查在這些組里是否有某個組擁有這個文件或者有權(quán)限訪問這個文件。
  3. 如果上述 a、b 任一為真(或者“其它”位設(shè)為有權(quán)限訪問),那么這個進(jìn)程就有權(quán)限訪問這個文件。

比如說,如果一個進(jìn)程被用戶 julia 擁有并且 juliaawesome 組,那么這個進(jìn)程就能訪問下面這個文件。

  1. r--r--r-- 1 root awesome     6872 Sep 24 11:09 file.txt

然而上述的機(jī)制我并沒有考慮得非常清楚,如果你硬要我闡述清楚,我會說進(jìn)程可能會在運行時去檢查 /etc/group 文件里是否有某些組擁有當(dāng)前的用戶。

然而這并不是 Linux 里“組”的工作機(jī)制

我在上個星期的工作中發(fā)現(xiàn)了一件有趣的事,事實證明我前面的理解錯了,我對組的工作機(jī)制的描述并不準(zhǔn)確。特別是 Linux 并不會在進(jìn)程每次試圖訪問一個文件時就去檢查這個進(jìn)程的用戶屬于哪些組。

我在讀了《Linux 編程接口》這本書的第九章(“進(jìn)程資格”)后才恍然大悟(這本書真是太棒了),這才是組真正的工作方式!我意識到之前我并沒有真正理解用戶和組是怎么工作的,我信心滿滿的嘗試了下面的內(nèi)容并且驗證到底發(fā)生了什么,事實證明現(xiàn)在我的理解才是對的。 

用戶和組權(quán)限檢查是怎么完成的

現(xiàn)在這些關(guān)鍵的知識在我看來非常簡單! 這本書的第九章上來就告訴我如下事實:用戶和組 ID 是進(jìn)程的屬性,它們是:

  • 真實用戶 ID 和組 ID;
  • 有效用戶 ID 和組 ID;
  • 保存的 set-user-ID 和保存的 set-group-ID;
  • 文件系統(tǒng)用戶 ID 和組 ID(特定于 Linux);
  • 補(bǔ)充的組 ID;

這說明 Linux 實際上檢查一個進(jìn)程能否訪問一個文件所做的組檢查是這樣的:

  • 檢查一個進(jìn)程的組 ID 和補(bǔ)充組 ID(這些 ID 就在進(jìn)程的屬性里,并不是實時在 /etc/group 里查找這些 ID)
  • 檢查要訪問的文件的訪問屬性里的組設(shè)置
  • 確定進(jìn)程對文件是否有權(quán)限訪問(LCTT 譯注:即文件的組是否是以上的組之一)

通常當(dāng)訪問控制的時候使用的是有效用戶/組 ID,而不是真實用戶/組 ID。技術(shù)上來說當(dāng)訪問一個文件時使用的是文件系統(tǒng)的 ID,它們通常和有效用戶/組 ID 一樣。(LCTT 譯注:這句話針對 Linux 而言。) 

將一個用戶加入一個組并不會將一個已存在的進(jìn)程(的用戶)加入那個組

下面是一個有趣的例子:如果我創(chuàng)建了一個新的組:panda 組并且將我自己(bork)加入到這個組,然后運行 groups 來檢查我是否在這個組里:結(jié)果是我(bork)竟然不在這個組?!

  1. bork@kiwi~> sudo addgroup panda
  2. Adding group `panda' (GID 1001) ...
  3. Done.
  4. bork@kiwi~> sudo adduser bork panda
  5. Adding user `bork' to group `panda' ...
  6. Adding user bork to group panda
  7. Done.
  8. bork@kiwi~> groups
  9. bork adm cdrom sudo dip plugdev lpadmin sambashare docker lxd

panda 并不在上面的組里!為了再次確定我們的發(fā)現(xiàn),讓我們建一個文件,這個文件被 panda 組擁有,看看我能否訪問它。

  1. $  touch panda-file.txt
  2. $  sudo chown root:panda panda-file.txt
  3. $  sudo chmod 660 panda-file.txt
  4. $  cat panda-file.txt
  5. cat: panda-file.txt: Permission denied

好吧,確定了,我(bork)無法訪問 panda-file.txt。這一點都不讓人吃驚,我的命令解釋器并沒有將 panda 組作為補(bǔ)充組 ID,運行 adduser bork panda 并不會改變這一點。 

那進(jìn)程一開始是怎么得到用戶的組的呢?

這真是個非常令人困惑的問題,對嗎?如果進(jìn)程會將組的信息預(yù)置到進(jìn)程的屬性里面,進(jìn)程在初始化的時候怎么取到組的呢?很明顯你無法給你自己指定更多的組(否則就會和 Linux 訪問控制的初衷相違背了……)

有一點還是很清楚的:一個新的進(jìn)程是怎么從我的命令行解釋器(/bash/fish)里被執(zhí)行而得到它的組的。(新的)進(jìn)程將擁有我的用戶 ID(bork),并且進(jìn)程屬性里還有很多組 ID。從我的命令解釋器里執(zhí)行的所有進(jìn)程是從這個命令解釋器里 fork() 而來的,所以這個新進(jìn)程得到了和命令解釋器同樣的組。

因此一定存在一個“***個”進(jìn)程來把你的組設(shè)置到進(jìn)程屬性里,而所有由此進(jìn)程而衍生的進(jìn)程將都設(shè)置這些組。而那個“***個”進(jìn)程就是你的登錄程序login shell,在我的筆記本電腦上,它是由 login 程序(/bin/login)實例化而來。登錄程序以 root 身份運行,然后調(diào)用了一個 C 的庫函數(shù) —— initgroups 來設(shè)置你的進(jìn)程的組(具體來說是通過讀取 /etc/group 文件),因為登錄程序是以 root 運行的,所以它能設(shè)置你的進(jìn)程的組。 

讓我們再登錄一次

好了!假如說我們正處于一個登錄程序中,而我又想刷新我的進(jìn)程的組設(shè)置,從我們前面所學(xué)到的進(jìn)程是怎么初始化組 ID 的,我應(yīng)該可以通過再次運行登錄程序來刷新我的進(jìn)程組并啟動一個新的登錄命令!

讓我們試試下邊的方法:

  1. $ sudo login bork
  2. $ groups
  3. bork adm cdrom sudo dip plugdev lpadmin sambashare docker lxd panda
  4. $ cat panda-file.txt # it works! I can access the file owned by `panda` now!

當(dāng)然,成功了!現(xiàn)在由登錄程序衍生的程序的用戶是組 panda 的一部分了!太棒了!這并不會影響我其他的已經(jīng)在運行的登錄程序(及其子進(jìn)程),如果我真的希望“所有的”進(jìn)程都能對 panda 組有訪問權(quán)限。我必須完全的重啟我的登錄會話,這意味著我必須退出我的窗口管理器然后再重新登錄。(LCTT 譯注:即更新進(jìn)程樹的樹根進(jìn)程,這里是窗口管理器進(jìn)程。) 

newgrp 命令

在 Twitter 上有人告訴我如果只是想啟動一個刷新了組信息的命令解釋器的話,你可以使用 newgrp(LCTT 譯注:不啟動新的命令解釋器),如下:

  1. sudo addgroup panda
  2. sudo adduser bork panda
  3. newgrp panda # starts a new shell, and you don't have to be root to run it!

你也可以用 sg panda bash 來完成同樣的效果,這個命令能啟動一個bash 登錄程序,而這個程序就有 panda 組。 

seduid 將設(shè)置有效用戶 ID

其實我一直對一個進(jìn)程如何以 setuid root 的權(quán)限來運行意味著什么有點似是而非。現(xiàn)在我知道了,事實上所發(fā)生的是:setuid 設(shè)置了
“有效用戶 ID”! 如果我(julia)運行了一個 setuid root 的進(jìn)程( 比如 passwd),那么進(jìn)程的真實用戶 ID 將為 julia,而有效用戶 ID 將被設(shè)置為 root

passwd 需要以 root 權(quán)限來運行,但是它能看到進(jìn)程的真實用戶 ID 是 julia ,是 julia 啟動了這個進(jìn)程,passwd 會阻止這個進(jìn)程修改除了 julia 之外的用戶密碼。 

就是這些了!

在《Linux 編程接口》這本書里有很多 Linux 上一些功能的罕見使用方法以及 Linux 上所有的事物到底是怎么運行的詳細(xì)解釋,這里我就不一一展開了。那本書棒極了,我上面所說的都在該書的第九章,這章在 1300 頁的書里只占了 17 頁。

我***這本書的一點是我只用讀 17 頁關(guān)于用戶和組是怎么工作的內(nèi)容,而這區(qū)區(qū) 17 頁就能做到內(nèi)容完備、詳實有用。我不用讀完所有的 1300 頁書就能得到有用的東西,太棒了!

責(zé)任編輯:龐桂玉 來源: Linux中國
Linux用戶組命令
相關(guān)推薦

2014-08-14 14:18:05

Linux用戶

2024-02-22 08:00:00

SoraOpenAI

2022-08-08 08:00:00

人工智能機(jī)器學(xué)習(xí)計算機(jī)應(yīng)用

2019-07-26 13:49:49

用戶組Linux

2024-12-09 09:55:25

2022-08-12 08:03:59

算力網(wǎng)絡(luò)算力網(wǎng)絡(luò)

2013-04-24 09:08:17

Google眼鏡

2023-12-15 07:23:39

電子管半導(dǎo)體芯片集成電路

2010-03-09 13:23:51

Linux用戶組管理方

2017-01-19 14:22:51

Linux

2023-12-07 14:29:54

數(shù)據(jù)中心安全數(shù)字化

2024-03-15 08:06:58

MySQLJOIN命令

2010-11-02 14:29:11

DB2用戶組

2019-05-28 13:50:27

MySQL幻讀數(shù)據(jù)庫

2020-12-28 08:18:55

安全代碼線程

2024-05-11 09:41:45

線程安全代碼

2024-06-06 11:26:03

2018-10-31 09:21:20

運維互聯(lián)網(wǎng)監(jiān)控

2022-01-07 07:59:14

Go語言Go Error

2022-01-14 17:01:44

GoError結(jié)構(gòu)
點贊
收藏

51CTO技術(shù)棧公眾號